动易CMS 2007新特性体验之旅——全面提高的安全性(5)_动易Cms教程
教程Tag:暂无Tag,欢迎添加,赚取U币!
而对于不能使用参数化查询的部分(比如in、like语句),使用严格的过滤函数进行过滤。如各模块的搜索功能的模糊查询语句:"select * from aaa where Title like '%" & Keyword & "%'",在这里会对提交过来的要害字做严格的过滤。
另外,动易CMS2007还通过限定URL的传递参数类型、数量、范围等来防止通过构造URL进行恶意攻击。
| 以下是引用片段: 5、跨站脚本攻击(XSS)防范: ●对于不支持HTML标记的内容使用HTMLEncode进行编码 ●对于支持HTML标记的内容使用脚本过滤函数来过滤绝大部分可运行的脚本代码,作为防范的辅助措施 ●通过frame的安全属性security="restricted"来阻止脚本的运行(IE有效) ●使用Cookie的HttpOnly属性来防止Cookie通过脚本泄密(IE6 SP1以上、Firefox 3) |
根据OWASP组织发布的2007年Web应用程序脆弱性10大排名统计,跨站脚本、注入漏洞、跨站请求伪造、信息泄露等几方面仍然是目前流行的攻击方式。其中,跨站脚本攻击已经超过了SQL注入漏洞攻击,位列首位。因为XSS最难处理,限制得过死,正常功能也将无法使用,稍微一松,就有可能因为过滤不严而产生漏洞。而XSS的攻击方式之多,可能会超乎大家的想像。我发个网址给大家,有爱好的人可以上去看看:http://ha.ckers.org/xss.html
动易的脚本过滤函数针对上述网址中的攻击方式制定了一套完整的防范方案,可以有效的防范XSS攻击。再综合运用上述列举的各种防范措施,可以最大限度的防范跨站脚本攻击。
以下是引用片段:
6、跨站请求伪造(CSRF)防范:
●禁止通过地址栏直接访问或者通过外部链接访问后台治理页面
●通过设置ViewStateUserKey属性防止受到恶意用户的点击式攻击(对应Post方式)
●通过对链接追加安全验证码(HMACSHA1)防止跨站请求伪造(对应Get方式)
相关动易Cms教程:
- MAC错误的解决方法
- 如何屏蔽动易后台导航里的某个功能菜单?
- 动易.NET版本留言自动选定栏目方法
- 动易SiteFactoty整合Discuz!NT3.0
- 在任意位置获取根节点ID标签
- 如何开启SiteWeaver6.8的支持,反对功能
- Windows 2008安装动易.NET系统之四----动易系统安装篇
- Windows 2008安装动易.NET系统之三----数据库篇
- Windows 2008安装动易.NET系统之二----IIS、目录环境配置篇
- 数据库修复,SQL Server 2005内部操作不一致的处理
- 如何安装动易.net程序权限配置
- 为什么提示对Windows系统文件夹下的Temp目录没有访问权限?
- 相关链接:
- 教程说明:
动易Cms教程-动易CMS 2007新特性体验之旅——全面提高的安全性(5)
。